Volkan ERTÜRK @VolkanErturk @PicusSecurity

Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Test Edebiliriz?

Volkan Ertürk

• Picus Security – Kurucu Ortak & CEO

• 12+ yıl bilişim güvenliği alanında deneyim

• CISA, CISM, CCSE, 27001LA

• PhD Adayı @ODTÜ Bilişim Sistemleri

• Ağ güvenliği ürünlerimde bir sorun yok ki!

• Diyelim ki sorun var! Başıma ne gelebilir ki?

• Millet bu konuda ne yapıyor?

• Hımm bir arkadaşımın bu konuda sorunları vardı. Sizce ne yapmalı?

30 dakikamı neden sana vermeliyim?

Ağ Güvenliğimizi Nasıl Sağlıyoruz?

En iyi ürün ve teknolojileri kullanarak

Katmanlı Güvenlik

Sürekli İyileştirme

ProaktifBakım

EntegrasyonThreat

Intelligence

Ağ Güvenliğimizi Nasıl Sağlıyoruz?

Ağ Güvenliğimiz Gelecek Siber Atakları Engelleyebilecek mi?

• Bu saldırıların ne kadarını engellemesini

bekliyoruz?

• Bunu nasıl ölçeceğiz?

Pratik IPS & WAF Testi

curl http://www.kurum.com/cmd.exe

curl http://www.kurum.com/Volkan-cmd.exe

Ağ Güvenliği Ürünlerinin Testi

Kim yapmalı?

Uzman personel

Hizmet alımı

Ürün alımı

Ağ Güvenliği Ürünlerinin Testi

Ne sıklıkta yapılmalı?

Ağ güvenliği sistemlerinde değişim ne sıklıkta?

Ağ güvenliği ürünlerinin devre dışı kalması veya

etkinliğinin azalması ne kadar kritik?

Bu sistemlerde oluşan bir sorunun ne kadar süre

içerisinde tespit edilmesi hedefleniyor?

Ağ Güvenliği Ürünlerinin Testi

Nereden yapılmalı?

Laboratuvar

Operasyonel Ağlar

Ağ Güvenliği Ürünlerinin Testi

Hangi ürün(ler) test edilecek?

Tek bir güvenlik ürünü

Katmanlı bir güvenlik mimarisi

Test edilen şey ürün değil, ürün+tanımlı güvenlik politikaları

Ölçmediğin Şeyi Yönetemezsin

Test Etmezsem Ne Olur?

Ağ Güvenliği Ürünlerinin Analizi:Kontrol Listeleri

Ağ Güvenliği Ürünlerinin Analizi:Güvenlik Testleri

Sızma testleri yöntemlerini kullanabilir miyiz?

Yaklaşım: Atakların başarılı şekilde gerçekleşeceği

önceden sağlanmalı ve araya güvenlik sistemleri

koyulduğunda durumun nasıl değiştiği incelenmeli.

Kontrol Listeleri VS Güvenlik Testleri

Bakış Açısı

Çıktı

Analiz Yapan Ekip

Hangisi?

Picus Security’nin YaklaşımıÜretim ortamındaki ağ güvenlik sistemlerini üretici bağımsız bir şekilde sürekli olarak siber tehditlere karşı test eden bir güvenlik yazılımı.

Ağ güvenliğindeki boşlukları ortaya çıkarır.

İyileştirme alternatifleri sunar.

Güvenlik başarımını yönetici seviyesinde raporlar.

Operasyonel ve yönetimsel iş yükü oluşturmaz.

Picus yazılımı kurumun ağ güvenlik sistemleri için bir tomografi cihazı gibi çalışarak kurumun siber ataklara karşı hazır olup olmadığını ölçer.

① Choose the network you want to assess

② Run or schedule the assessment

③ Review findings & Tune Your Security

Kullanıcı CryptoWall zararlısını indirebilir mi?

SQL Injection atağı web sunucularıma ulaşıyor mu?

Sürekli analiz

Eposta alarmları

Yönetim yükü oluşturmaz

Onaylı Test Metodolojisi

Dünyanın önde gelen güvenlik üreticilerinin yaptıklarıçalışmalar Picus test metodolojisini doğrulamıştır.

Picus Atak Veritabanı

1000+ atak

Zafiyet Sömürü

Web Uygulama

Zararlı Yazılım

Her ay en az 50 yeni atak

Kritik ataklar 48 saat içerisinde

ShellShock, Hacking Team Flash 0-day,

Cryptolocker, CryptoWall 4.0

Virustotal Intelligence

Exploit Siteleri ve Siber İstihbarat Takibi

Güvenlik Ürünlerini Test Etmenin Faydaları

Güvenlik sistemlerinizin hangi atakları yakalayamadığını raporlayabilen tek ürün

Gerçek siber ataklara karşı ne kadar güvenli olduğunuzu sürekli olarak ölçer.

Ağ güvenliğinizin güçlü ve zayıf olduğu yönleri ortaya çıkarır.

Güvenlik operasyonlarınızı ve servis seviyesi anlaşmaları (SLA) doğrulamanıza yardımcı olur.

Özetle

• Parası neyse verdim güvendeyim! Ağ güvenliği için

maalesef çalışmıyor!

• Ağ güvenliği ürünlerinin etkinliğini ölçmezsek, bu

ürünleri verimli kullanamayız

• Ağ güvenliği ürünlerini test etmek için kurumda sizin

yapabileceğiniz temel kontroller mevcut

• Ağ güvenliği ürünlerini testleri için çeşitli otomasyon

teknolojilerinden de faydalanmak mümkün.

TEŞEKKÜRLER

Volkan ERTÜRKvolkan@picussecurity.com